如何把安全扩展到云端?
世界已迁移到云端。市场数据各异,但对云使用的估测显示,当今总体计算工作负载的20-25%,都运行在公共云环境中,未来5年这一数字还将增长至50%。
公司企业开始在混合环境中运营,包括了公共云、私有云和虚拟化环境。对大多数公司而言,这意味着需要有能服务于该整体基础设施的安全控制措施。
就像边界防御不足以防护公司网络一样,云端工作负载也不是默认安全的。AWS共享责任模型将这一点表达得很清楚。
照看着底层基础设施,但其客户依然要负责自身云端数据和应用的安全、合规及操作控制。这意味着,安全配置、漏洞管理和日志管理等基础控制,无论在云端还是在本地,都同样重要。
由于云端和本地两种环境中的控制方式不同,如果计划将工作负载迁往云端,你可能会面临一些挑战。
云基础设施与本地基础设施迥异。如果原本的安全和合规控制是为本地环境设计的,千万别假定它们在云端也能正常工作。比如说,可能缺乏对 亚马逊Linux或Docker容器等面向云的技术的支持。反之,也别假设为云设计的控制措施,能在本地环境工作良好。
如果你的控制措施不能支持两种环境,最终结果可能就是每种环境都要部署一套控制措施。多环境多控制情况下,不仅仅是部署,包括管理和报告都会很麻烦,时间伤不起。另外,如果各基础设施上数据收集不持续,监管空白也会出现。
另外一个难点在于,弹性计算环境的动态特性。弹性计算环境中,资产是按需求扩充的,随时可能上线和下线。你的安全控制要能适应这种云资产快速创建和销毁的需求。否则,可见性空白和错误就会随着主机的出现/消失而产生。
两家大型金融服务公司的实践操作展现了该如何克服此一难点。这两家公司均将重点放在了最小化新机器镜像接收和推出之间的时间差上。他们实现的控制可以在镜像被接收时自动建立基准线。后续的改变也是实时检测的,不留一点儿暴露窗口时间,确保持续遵从所有现行规则。
快速部署镜像的能力,即便只有几个小时,也能使其应用开发人员充分利用云技术那前所未有的灵活性,享受持续的防护和长期审计跟踪。
换句话说,确保你的基础控制支持你整个基础设施上的各种策略、操作系统、平台和技术。
考虑一下能做到下列几点的工具集:
监视本地和外部环境;
以统一的管理和报告环境,跨本地和云网络应用同一套健壮的控制措施;
动态上下线节点,确保弹性环境中的持续监测;
本地策略和平台之外,还要增加对云策略和平台的支持;
评估Docker容器之类的开发运维和面向云的技术;
在所选择的环境中(如:AWS、Azure、VMWare等)轻松部署预固化的主机镜像。
总之,可预见的将来,你可能需要防护本地和云端两种环境。但不是所有解决方案都能在两种环境之间正常工作,所以,别假定本地运作良好的解决方案也能在云端表现不错。